やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

情報セキュリティマネジメント【情報セキュリティインシデント】

情報セキュリティインシデント

 情報セキュリティインシデントとは、情報セキュリティに関する事件や事故のことです。具体的には、情報漏えい、改ざんや消失、日常使用している機能の停止または極端な性能の低下などがあります。

 情報セキュリティインシデントによる損害を最小限に抑えるためには、予防策を講じるとともに、インシデント発生時の対応方法を明確にしておく必要があります。

 具体的な対策については、IPA(情報処理推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」が参考になります。

 まず、経営者がやるべきこととして、項目を次のように挙げています。

【認識すべき「3原則」】

  • 原則1:情報セキュリティ対策は経営者のリーダシップで進める
  • 原則2:委託先の情報セキュリティ対策まで考慮する
  • 原則3:関係者とは常に情報セキュリティに関するコミュニケーションをとる

【実行すべき「重要7項目の取組」】

  • 取組1:情報セキュリティに関する組織全体の対応方針を定める
  • 取組2:情報セキュリティ対策のための予算や人材などを確保する
  • 取組3:必要と考えられる対策を検討させて実行を指示する
  • 取組4:情報セキュリティ対策に関する適宜の見直しを指示する
  • 取組5:緊急時の対応や復旧のための体制を整備する
  • 取組6:委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
  • 取組7:情報セキュリティに関する最新動向を収集する

 これを受けて、情報セキュリティ対策を実践する責任者・担当者による実務的な進め方を説明しています。

【できるところから始める】

  1. 情報セキュリティ5か条

【組織的な取り組みを開始する】

  1. 情報セキュリティ基本方針の作成と周知
  2. 実施状況の把握
  3. 対策の決定と周知

【本格的に取り組む】

  1. 管理体制の構築
  2. IT利活用方針と情報セキュリティの予算化
  3. 情報セキュリティ規定の作成
  4. 委託時の対策
  5. 点検と改善

【より強固にするための方策】

  1. 情報収集と共有
  2. ウェブサイトの情報セキュリティ
  3. クラウドサービスの情報セキュリティ
  4. 情報セキュリティサービスの活用
  5. 技術的対策例と活用
  6. 詳細リスク分析の実施方法 

www.ipa.go.jp

 

平成29年度 春期 情報セキュリティマネジメント試験 午前

f:id:aolaniengineer:20191103152208p:plain

情報セキュリティマネジメント試験 平成29年度 春期 午前 問8
ア 情報セキュリティインシデント管理を一元化するために、委託契約継続可否及び再発防止策の決定をB社に任せた。

 委託先に任せるのではなく、委託先と協力して適切な再発防止策を決定する必要があります。

イ 情報セキュリティインシデントに迅速に対応するために、サービスレベル合意書(SLA)に緊急時のセキュリティ手続を記載せず、B社の裁量に任せた。

 サービスレベル合意書(SLA)には緊急時のセキュリティ手続を記載して、情報セキュリティインシデント発生時にはそれに従って迅速に対応できるようにします。

ウ 情報セキュリティインシデントの発生をA社及びB社の関係者に迅速に連絡するために、あらかじめ定めた連絡経路に従ってB社から連絡した。

 これが正解です。

エ 迅速に対応するために、特定の情報セキュリティインシデントの一次対応においては、事前に定めた対応手順よりも、経験豊かなB社担当者の判断を優先した。

 特定の情報セキュリティインシデントの一次対応であっても、事前に定められた対応手順に従う必要があります。